我們建議根據(jù)XX市XX區(qū)政府各單位的分布狀況不同將XX市XX區(qū)政府政務網(wǎng)分成不同的級別,制定不同安全策略進行統(tǒng)一監(jiān)控,分布管理。針對這種情況我們將分別進行方案設(shè)計。
1、XX市XX區(qū)政府數(shù)據(jù)交換中心
XX市XX區(qū)政府政務網(wǎng)數(shù)據(jù)中心為XX市XX區(qū)政府政務網(wǎng)數(shù)據(jù)存儲中心、管理中心,因此流量及數(shù)據(jù)安全要求等級應當為最高。另外,其既與各相關(guān)所屬單位連接,又與XX市政府等上級或平行單位連接、通訊,因此考慮可能的性能瓶頸問題及可靠性,建議采用大會話數(shù)防火墻設(shè)備,同時使用雙擊熱備份。具體網(wǎng)絡(luò)拓撲圖如。
三星防火墻具有很強的會話處理能力,通過它良好的性能保證數(shù)據(jù)流量大的數(shù)據(jù)中心對吞吐量需求,此外可以采用ACTIVE-ACTIVE模式的雙機熱備份,實現(xiàn)系統(tǒng)可靠性的同時實現(xiàn)對防火墻的負載均衡,且無需使用L4交換機實現(xiàn)負載均衡。
2、XX市XX區(qū)政府所屬各單位的防火墻解決方案
XX市XX區(qū)政府所屬各單位的分布狀況雖不同,但都在各自局域網(wǎng)絡(luò)內(nèi)存放著各自辦公數(shù)據(jù)及重要資料。由于對Internet訪問的需求,對上級主管部門通訊的需求及相關(guān)機構(gòu)的信息往來等要求外部接入不可避免。因此要求防火墻除提供必不可少的局域網(wǎng)絡(luò)保護和控制外,還需要防火墻提供多種配置模式,并且通過路由模式實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)域的劃分,使網(wǎng)絡(luò)更加安全可靠。同時由于XX市XX區(qū)政府所屬各單位安全需求不同,又對可能用到的3A認證服務、各代理應用服務、附加功能的支持程度等都成為考慮的因素,這樣來保證防火墻產(chǎn)品應用到各單位網(wǎng)絡(luò)中后可靈活配置、滿足各種變化的需求。對于認證服務器的要求可通過路由模式劃分兩個DMZ區(qū)域、一個內(nèi)網(wǎng)區(qū)域,同時支持三個外網(wǎng)接入以滿足不同用戶的接入需求。具體網(wǎng)絡(luò)拓撲如下。
在路由模式下可對各單位網(wǎng)絡(luò)的具體環(huán)境需求實現(xiàn)服務的負載平衡(Load Balancing)功能,并且合理分配關(guān)鍵主機的訪問負載,滿足我們實施政務網(wǎng)過程中進行分步投資網(wǎng)絡(luò)服務器等設(shè)備的需求。
因三星防火墻 防火墻將黑客代碼庫集成在其可升級的防火墻操作系統(tǒng)中,所以它對黑客的多種攻擊手段能做出最快的反應,例如著名的DDOS分布式拒絕服務攻擊(Distributed Denial-Of Service),三星防火墻能根據(jù)客戶端主機發(fā)出數(shù)據(jù)報的數(shù)量自動判斷是否是DDOS 攻擊程序攻擊,并采取措施過濾掉攻擊包或阻止。
3、遠程用戶的接入
三星防火墻 支持來自Internet等移動用戶或訪問站點的多種認證接入方式。無論是一次性口令認證訪問方式,還是對口令加密的S/Key方式等都可作很好的支持。另外,三星防火墻防火墻還支持第三方的專用認證方式,例如RADUIS、LDAP、SecurID等。對于應用范圍較廣的撥號用戶或相關(guān)單位的頻繁訪問,三星防火墻防火墻還可配置支持“容許支持相同用戶名”、“容許用戶使用相同IP地址”等方式來靈活應用防火墻并提供服務。
| 共2頁: 1 [2] 下一頁 | ||
|
